Из-за недавней шумихи по поводу Duqu прошел незамеченным выпуск Oracle множества критических обновлений (см. раздел «Ссылки по теме» в правом верхнем углу страницы). Самое интересное, хотя, пожалуй, не самое важное с практической точки зрения – это обновление Java SE BEAST. Oracle утверждает, что закрыла 57 различных уязвимостей в своей продуктовой линейке, включая патчи для Java и Sun Ray – решение на основе виртуализации. Но самый интересный повод для обсуждения – это выпуск патча, закрывающего уязвимость CVE-2011-3389, т.е. бреши в JSSE.
На конференции Ekoparty в Аргентине, о которой мы писали в прошлом месяце, группа исследователей BEAST показала новый эксплойт для взлома SSL/TLS-сессий с использованием методики, описанной почти десять лет назад. Понятно, что интерес представляет не описание идеи, а ее реализация, так что эта демонстрация на многих произвела впечатление, а крупным производителям ПО прибавила работы. Среди этих производителей был и Oracle, поскольку продемонстрированный эксплойт использовал уязвимости в Java-коде (исследователи утверждали, что в коде Microsoft Silverlight и Javascript также имеются уязвимости, но эксплойты для них в этот раз не были представлены. К сожалению, код разработанного BEAST эксплойта для уязвимости Silverlight опубликован в сети). Эксплойт чуть не привел к еще более печальным последствиям, когда Mozilla заговорила о возможности блокировать в своих браузерах использование любых Java-надстроек: «В данный момент мы рассматриваем возможность полностью заблокировать Java во всех установках Firefox на компьютерах пользователей. Если мы примем такое решение, то сообщим об этом дополнительно». Несколько странно то, что Oracle довольно низко оценила важность этого обновления, оценив его на 4,3 балла по десятибалльной шкале, где 10 баллов соответствуют уязвимостям, представляющим наибольшую опасность.
В то же время Oracle выпустила шесть разных патчей для Java, оцененных на 10 баллов каждый; из них четыре для недавно выпущенной Java 7. Патчи затрагивают архитектуру самой JRE, AWT, десериализацию и скриптовые компоненты JRE.
По моему опыту, Sun Ray, решение Oracle на основе виртуализации, широко используется в корпоративных облачных сервисах, и администраторам «облака» нужно знать, что производитель выпустил для этой платформы патч, закрывающий уязвимость CVE-2011-3538 и устраняющий связанные с ней проблемы с аутентификацией.
Критические обновления от Oracle за октябрь 2011 г.